Zlonamerna programska oprema za mobilne naprave Wpeeper

Varnostni analitiki so odkrili novo vrsto zlonamerne programske opreme, namenjene napravam Android. Ta zlonamerna programska oprema, imenovana Wpeeper, je bila prej neznana in uporablja ogrožena spletna mesta WordPress za prikrivanje svojih povezav strežnika Command-and-Control (C2), zaradi česar jo je težje zaznati. Wpeeper deluje kot binarni zapis ELF in uporablja HTTPS za varno komunikacijo s svojimi strežniki C2.

Wpeeper deluje kot standardni zakulisni trojanec za Android, ki omogoča različne dejavnosti, vključno z zbiranjem občutljivih podatkov o napravi, upravljanjem datotek in imenikov, prenosom datotek (nalaganje in nalaganje) in oddaljenim izvajanjem ukazov.

Zlonamerna programska oprema Wpeeper okuži naprave prek ogroženih aplikacij za Android

Ogrožena binarna datoteka ELF je skrita v spremenjeni različici aplikacije UPtodown App Store za Android (ime paketa 'com.uptodown'), pri čemer datoteka APK služi kot nosilec za backdoor, zasnovan tako, da se izogne odkrivanju.

Izbira aplikacije Uptodown App Store za to kampanjo kaže na prizadevanje za kamuflažo zakonite tržnice aplikacij tretjih oseb in zavajanje nič hudega slutečih uporabnikov, da jo namestijo. Po statističnih podatkih Android-apk.org je bila ogrožena različica aplikacije (5.92) doslej prenesena 2.609-krat.

Zlonamerna programska oprema Wpeeper uporablja zapleteno arhitekturo ukazov in nadzora

Wpeeper uporablja sofisticirano arhitekturo C2, ki vključuje okužena spletna mesta WordPress, ki delujejo kot posredniki za zakrivanje njegovih pristnih strežnikov C2. V tej infrastrukturi je bilo identificiranih do 45 strežnikov C2, od katerih jih je devet trdo kodiranih v vzorce za dinamično posodabljanje seznama C2.

Ti trdo kodirani strežniki niso dejanski C2, temveč preusmerjevalniki C2 — njihov namen je posredovati zahteve bota avtentičnemu C2, s čimer želijo pristnega C2 zaščititi pred odkrivanjem. To je tudi sprožilo zaskrbljenost, da lahko napadalci neposredno nadzorujejo nekatere od trdo kodiranih strežnikov, saj obstaja nevarnost izgube dostopa do botneta, če skrbniki spletnega mesta WordPress izvejo za ogroženost in sprejmejo popravne ukrepe.

Napadalci lahko na okuženih napravah izvajajo različna vsiljiva dejanja

Ukazi, prejeti s strežnika C2, omogočajo zlonamerni programski opremi, da zbere podrobnosti o napravi in datoteki, izpiše seznam nameščenih aplikacij, posodobi strežnik C2, prenese in zažene dodatne koristne obremenitve s strežnika C2 ali določenega URL-ja ter se samoodstrani.

Celotni cilji in obseg kampanje trenutno niso jasni. Kljub temu obstajajo sumi, da je bila ta zavajajoča taktika morda uporabljena za povečanje števila namestitev in posledično razkritje zmogljivosti zlonamerne programske opreme.

Da bi zmanjšali nevarnosti, ki jih predstavlja taka zlonamerna programska oprema, je ključnega pomena, da nameščate izključno aplikacije iz uglednih virov in pred prenosom skrbno pregledate ocene in dovoljenja aplikacij.